Vous pouvez joindre un dispositif Platform Services Controller ou vCenter Server Appliance avec un dispositif Platform Services Controller intégré à un domaine Active Directory. Vous pouvez attacher les utilisateurs et groupes de ce domaine Active Directory à votre domaine vCenter Single Sign-On.

Pourquoi et quand exécuter cette tâche

Important :

Le fait de joindre un dispositif Platform Services Controller ou vCenter Server Appliance à un service Platform Services Controller intégré à un domaine Active Directory doté d'un contrôleur de domaine en lecture seule (RODC) n'est pas pris en charge. Vous pouvez joindre Platform Services Controller ou vCenter Server Appliance à un service Platform Services Controller intégré uniquement dans un domaine Active Directory doté d'un contrôleur de domaine accessible en écriture.

Si vous souhaitez configurer les autorisations des utilisateurs et des groupes depuis un domaine Active Directory pour accéder aux composants vCenter Server, vous devez joindre son instance Platform Services Controller associée, intégrée ou externe, au domaine Active Directory.

Par exemple, pour permettre à un utilisateur Active Directory de se connecter à l'instance vCenter Server d'un dispositif vCenter Server Appliance avec un service Platform Services Controller intégré en utilisant vSphere Web Client avec l'authentification de session Windows (SSPI), vous devez joindre vCenter Server Appliance au domaine Active Directory et affecter le rôle Administrateur à cet utilisateur. Pour permettre à un utilisateur Active Directory de se connecter à l'instance vCenter Server d'un dispositif Platform Services Controller externe avec un service vSphere Web Client utilisant l'authentification de session Windows (SSPI), vous devez joindre Platform Services Controllerau domaine Active Directory et affecter le rôle Administrateur à cet utilisateur.

Préambules

  • Vérifiez que l'utilisateur qui se connecte à l'instance de vCenter Server dans vCenter Server Appliance fait partie du groupe SystemConfiguration.Administrators dans vCenter Single Sign-On.

  • Assurez-vous que le nom du système et du dispositif est un nom de domaine complet. Si, pendant le déploiement du dispositif, vous définissez une adresse IP en tant que nom de système, vous ne pouvez pas joindre vCenter Server Appliance à un domaine Active Directory.

Procédure

  1. Utilisez vSphere Web Client pour vous connecter en tant qu'administrator@votre_nom_domaine à l'instance de vCenter Server dans vCenter Server Appliance.

    L'adresse est de type http://adresse-IP-dispositif-ou-FQDN /vsphere-client.

  2. Sur la page principale de vSphere Web Client, placez le pointeur de la souris sur l'icône de page d'accueil, cliquez sur Accueil et sélectionnez Configuration système.
  3. Sous Déploiement, cliquez sur Configuration système.
  4. Sous Configuration système, cliquez sur Nœuds.
  5. Sous Nœuds, sélectionnez un nœud et cliquez sur l'onglet Gérer.
  6. Sous Avancé, sélectionnez Active Directory, puis cliquez sur Joindre.
  7. Entrez les détails d'Active Directory.

    Option

    Description

    Domaine

    Nom de domaine Active Directory (par exemple, mondomaine.com). N'entrez pas d’adresse IP dans cette zone de texte.

    Unité d'organisation

    Facultatif. Le nom de domaine complet OU LDAP (par exemple, OU=Engineering,DC=mydomain,DC=com).

    Important :

    Utilisez cette zone de texte uniquement si vous maîtrisez LDAP.

    Nom d'utilisateur

    Nom d'utilisateur au format UPN (nom principal de l'utilisateur) format, par exemple, jchin@mondomaine.com.

    Important :

    Le format de nom de connexion de bas niveau, par exemple, DOMAIN\UserName, n'est pas pris en charge.

    Mot de passe

    Mot de passe de l'administrateur.

  8. Cliquez sur OK pour joindre vCenter Server Appliance au domaine Active Directory.

    L'opération réussit sans aucune confirmation et le bouton Joindre devient Quitter.

  9. Cliquez avec le bouton droit sur le nœud que vous avez modifié et sélectionnez Redémarrer pour redémarrer le dispositif, afin que les modifications soient appliquées.
    Important :

    Si vous ne redémarrez pas le dispositif, des problèmes risquent de survenir lors de l'utilisation de vSphere Web Client.

  10. Accédez à Administration > Single Sign-On > Configuration.
  11. Dans l'onglet Sources d'identité, cliquez sur l'icône Ajouter source d'identité.
  12. Sélectionnez Active Directory (authentification Windows intégrée), entrez les paramètres de source d'identité du domaine Active Directory joint, puis cliquez sur OK.
    Tableau 1. Ajouter des paramètres de source d'identité

    Zone de texte

    Description

    Nom de domaine

    Nom de domaine complet (FDQN) du domaine. N'entrez pas d’adresse IP dans cette zone de texte.

    Utiliser un compte d'ordinateur

    Sélectionnez cette option pour utiliser le compte de l'ordinateur local en tant que SPN. Lorsque vous sélectionnez cette option, vous spécifiez uniquement le nom de domaine. Si vous prévoyez de renommer l'ordinateur, ne sélectionnez pas cette option.

    Utiliser le Nom du service principal (SPN)

    Sélectionnez cette option si vous prévoyez de renommer l'ordinateur local. Vous devez spécifier un SPN, un utilisateur pouvant s'authentifier auprès de la source d'identité et un mot de passe pour cet utilisateur.

    Nom du service principal (SPN)

    SPN permettant à Kerberos d'identifier le service Active Directory. Incluez le domaine dans le nom. Par exemple, STS/exemple.com.

    Il peut s'avérer nécessaire d'exécuter la commande setspn -S pour ajouter l'utilisateur souhaité. Pour obtenir des informations sur l'outil de ligne de commande setspn, reportez-vous à la documentation de Microsoft.

    Le SPN doit être unique dans le domaine. L'exécution de la commande setspn -S permet de vérifier qu'aucun doublon n'est créé.

    Nom d'utilisateur principal (UPN)

    Nom d'un utilisateur pouvant s'authentifier auprès de cette source d'identité. Utilisez le format d'adresse e-mail. Par exemple, jchin@mondomaine.com. Vous pouvez vérifier le nom d'utilisateur principal (UPN, User Principal Name) dans l'Éditeur ASDI (Active Directory Service Interfaces Editor).

    Mot de passe

    Mot de passe de l'utilisateur qui s'authentifie généralement auprès de cette source d'identité. Cet utilisateur est également celui qui est spécifié dans le champ Nom d'utilisateur principal (UPN). Incluez le nom de domaine. Par exemple, jdoe@exemple.com.

Résultats

Dans l'onglet Sources d'identité, le domaine Active Directory joint apparaît.

Que faire ensuite

Vous pouvez configurer les autorisations de utilisateurs et des groupes du domaine Active Directory joint pour accéder aux composants de vCenter Server. Pour des informations sur la gestion des autorisations, reportez-vous à la documentation Sécurité vSphere.